Cyberthreat.id- Para peneliti kemanan dari perusahaan cybersecurity Trend Micro, kembali mengumumkan hasil temuan mereka, yang menemukan serangan yang berasal dari kelompok Magecart.

Peretas Magecart dilaporkan telah mengumpulkan informasi sensitif dari ribuan toko online setelah mengkompromikan platform e-commerce teratas dan penyedia layanan Volusion.

Magecart terkenal sebagai penjahat siber yang mencuri informasi kartu kredit melalui card skimming. Data hasil curian tersebut biasa diperdagangkan di darkweb atau dipakai dalam kejahatan online.

“Selama sebulan terakhir, mulai 7 September, skimmer kartu kredit online dari para peretas aktif di 3.126 toko online yang dihosting di Volusion,” lapor para peneliti keamanan Trend Micro, seperti dilansir dari SecurityWeek, Jumat, (11 Oktober 2019.

“Salah satu situs web yang terpengaruh oleh insiden ini adalah toko online Sesame Street Live,” tambah  Marcel Afrahim, seorang peneliti di Check Point.

Para Peneliti Trend Micro menjelaskan, sindikat Magecart menyuntikkan kode berbahaya  ke perpustakaan JavaScript yang disediakan oleh Volusion untuk klien mereka.

Kode ini dirancang untuk memuat JavaScript yang disimpan di layanan Google Cloud Storage, mewakili salinan hampir identik dari perpustakaan yang sah, tetapi dengan skimmer kartu kredit yang diintegrasikan dengan cermat ke dalamnya.

Kode itu dimaksudkan untuk menyalin informasi pribadi dan rincian kartu kredit yang dikirimkan oleh pengguna dan mengirim semua data ke server pengelupasan milik para penyerang.

Analisis terhadap perpustakaan yang dikompromikan telah mengungkapkan bahwa penyerang dengan hati-hati mengintegrasikan kode ke dalam naskah asli, untuk memastikan itu adalah bagian dari alur eksekusi program.

“Kode ini sesederhana mungkin, sehingga membuatnya sulit untuk diidentifikasi, dan server exfiltration mirip dengan domain Volusion,” ungkap Peneliti Trend Micro.

Peneliti keamanan Trend Micro juga meyakini, bahwa serangan itu telah diatur oleh Magecart Group 6, yang sebelumnya diidentifikasi sebagai aktor ancaman terkenal FIN6.

“Selain itu, kode yang digunakan menunjukkan kesamaan dengan yang digunakan dalam serangan FIN6 sebelumnya terhadap British Airways dan Newegg,” tulis para peneliti.

Selain menyuntikkan kode ke perpustakaan, penyerang juga mengintegrasikannya ke dalam fungsi asli kode jQueryUI yang dieksekusi sebagai bagian dari aliran eksekusi asli.

Selain itu, mereka menggunakan gaya pengkodean yang serupa dengan yang asli untuk membuat injeksi terlihat lebih seperti bagian dari kode sumber yang sah.

Skrip yang dimuat dari Google Cloud Storage terutama berisi kode dari pustaka js-cookie versi 2.2.1, tetapi dengan skimmer kartu kredit terintegrasi ke dalamnya. Kode ini dirancang untuk mengeksekusi baik pada klik mouse dan sentuh.

“Skimmer menyalin informasi pada seluruh formulir pembayaran, nama korban, alamat, nomor telepon, alamat email, dan detail kartu kredit (nomor, nama pemegang kartu, bulan kedaluwarsa, tahun kedaluwarsa, dan nomor CVV),” jelas Trend Micro.

Peneliti keamanan juga telah menghubungi Volusion, setelah menemukan skimmer Magecart, dan perusahaan mengatakan telah menghapus kode berbahaya dan bahwa masalah telah diatasi.